Beveiligingsonderzoekers hebben een lek ontdekt in een webcam van D-Link. Aanvallers kunnen op afstand het administrator-wachtwoord overschrijven van de D-Link DCS-930L Network Cloud Camera, waardoor ze de controle over het apparaat kunnen krijgen. Beveiligingsonderzoekers van Senrio waarschuwden daar een maand geleden al voor. D-Link heeft inmiddels een patch klaar die uitgebracht wordt op 15 juli.
De kwetsbaarheid is gevonden in de service genaamd Dynamic Configuration Protocol (DCP). De service verwerkt binnenkomende opdrachten van bijvoorbeeld de mydlink service. Gebruikers kunnen met de mydlink-app toegang krijgen tot hun webcam buitenshuis met behulp van onder meer hun smartphone.
Uit verder onderzoek blijken vijf andere modellen van D-Link getroffen te zijn door het beveiligingslek. Volgens onderzoekers is het mogelijk dat meer apparaten getroffen zijn door de kwaadaardige firmware. De website Securityaffairs.co beweert zelfs dat het lek in meer dan 120 apparaten is terug te vinden. Dit wordt echter niet door D-Link bevestigd. De fabrikant geeft aan dat niet alle mydlink-apparaten het DCP-protocol geïnstalleerd hebben.
D-Link wijst nog eens extra op het feit dat alle met mydlink Cloud-geactiveerde access points, modems en routers niet bedreigd worden door het beveiligingslek.
